Czas na zapoznanie się z WPA3!

W niemal każdej firmie korzysta się z sieci bezprzewodowej do połączenia z Internetem. Do Wi-Fi podłączamy telefony, urządzenia IoT, niekiedy kamery, drukarki, a przede wszystkim laptopy kiedy idziemy na szybkie spotkanie do sali konferencyjnej. Zakłada się, że znaczenie sieci bezprzewodowej będzie coraz większe, a do 2023 roku na jedną osobę przypadać będą średnio 3.6 urządzenia, dla porównania w 2018 roku były to średnio 2.4 urządzenia.

Pomimo dużej popularności sieci bezprzewodowych trzeba mieć na uwadze, że nie zawsze są one bezpieczne. 
W 2017 roku opublikowano podatność o nazwie KRACK dotyczącą niemal wszystkich urządzeń Wi-Fi. Podatność ta m.in. umożliwiała podsłuchanie danych przesyłanych przez urządzenia podłączone do sieci bezprzewodowej zabezpieczonej protokołem WPA2 bez konieczności posiadania hasła do danej sieci. Wielu producentów wydało aktualizacje oprogramowania niwelujące tę lukę, ale czy na pewno została zainstalowana na wszystkich urządzeniach, albo czy w ogóle nasze urządzenia otrzymują jeszcze aktualizacje?

Jeśli planujemy dużą modernizację sieci bezprzewodowej warto zatem rozważyć przejście na nowy protokół WPA3 (Wi-Fi Protected Access). WPA3 to najnowsza, zaktualizowana implementacja protokołu WPA2, która jest w użyciu od 2004 roku, certyfikacja urządzeń z nowym protokołem rozpoczęła się już w 2018 roku.

Protokół WPA3 wprowadza nowe funkcje do użytku osobistego (WPA3-Personal) i korporacyjnego (WPA3-Enterprise), w porównaniu ze standardem WPA2, dodano następujące możliwości:

• Indywidualne szyfrowanie danych – podczas szybkiego dodawania nowych urządzeń do sieci, WPA3 wykorzystuje inną metodę niż dotychczasową WPS (Wi-Fi Protected Setup). W nowym protokole stosowany jest system o nazwie Wi-Fi Device Provisioning Protocol (DPP), który umożliwia stosowanie tagów NFC czy kodów QR w celu dopuszczenia urządzenia do sieci. Ponadto w zabezpieczeniach WPA3 zastosowano szyfrowanie GCMP-256, w porównaniu z poprzednio stosowanym szyfrowaniem 128-bitowym.

• Silniejsza ochrona przed atakami typu brute force – podczas łączenia się z siecią bezprzewodową urządzenia wykonują negocjację, tzw. „handshake”, która zapewnia, że do komunikacji użyto odpowiedniego hasła oraz protokołu szyfrującego połączenie, w 2017 roku odkryto, że ta negocjacja podatna jest na atak KRACK. WPA3 wprowadza nową metodę negocjacji, która zapewnia ochronę nawet w przypadku stosowania raczej słabych haseł do ochrony sieci. W porównaniu do WPA2, nowy protokół chroni przed odgadywaniem haseł offline zezwalając użytkownikowi na tylko jedno odgadnięcie. Protokół SAE (Simultaneous Authentication of Equals) wymaga, aby urządzenie dokonywało nowej interakcji z siecią za każdym razem, gdy wysyłana jest prośba o klucz szyfrujący. To oznacza, że urządzenie musi być fizycznie obecne za każdym razem, gdy chce odgadnąć hasło do sieci. WPA2 nie ma wbudowanego szyfrowania i ochrony prywatności, co sprawia, że ataki typu brute force stanowią zagrożenie.

• Większe klucze sesji – WPA3-Enterprise wprowadza wsparcie dla kluczy odpowiadających 192-bitowemu zabezpieczeniu na etapie uwierzytelniania, co będzie trudniejsze do złamania.

• Szyfrowanie bez uwierzytelniania – wraz z WPA3 wprowadzona została lepsza ochrona podczas korzystania z publicznych hotspotów dzięki zastosowaniu standardu OWE (Opportunistic Wireless Encryption). Został on zaprojektowany, aby zapewnić szyfrowany transfer danych i komunikację w sieciach, które nie używają haseł, ale działa to także w sieciach używających hasła współdzielonego.

Jak widać WPA3 wprowadza nowe zabezpieczenia w tak bardzo chętnie stosowanym bezprzewodowym dostępie do sieci. Warto zatem przy najbliższej okazji zmodernizować swoją sieć Wi-Fi i dołożyć kolejną cegiełkę w zabezpieczeniu firmowej infrastruktury informatycznej.